• Facebook
  • Twitter
  • LinkedIn
  • YouTube
Nieuwsbrief
Contact
21165

U weet maar beter wat Verordening (EU) 2023/1543 inhoudt voor u in Augustus 2026 een gerechtelijk dwangbevel krijgt met grote gevolgen.

Een praktijkverhaal betreffende erordening (EU) 2023/1543 voor het management

16 Augustus 2026 de dag dat een IT-support bedrijf plots plots een juridische hoofdrol krijgt

InfraCare IT Services is een klassiek support-IT-bedrijf. Geen SOC, geen red team, geen “cyberwar room”. Gewoon een betrouwbare partner die infrastructuur draaiende houdt voor klanten die dat zelf niet meer willen of kunnen. Het bedrijf is ISO/IEC 27001-gecertificeerd, heeft zijn processen netjes beschreven en ziet zichzelf als een ondersteunende schakel in de keten.

Onder hun klanten bevinden zich echter organisaties die wél expliciet onder NIS2 vallen: een watermaatschappij, een ziekenhuisnetwerk en een logistieke hub. Dat is nooit een probleem geweest. Tot op een ochtend blijkt dat die scheiding tussen “ondersteunen” en “verantwoordelijk zijn” juridisch veel dunner is dan gedacht.

Het incident dat alles verandert

Bij een Nederlandse watermaatschappij wordt ongebruikelijke activiteit vastgesteld in de IT-omgeving die de brug vormt met operationele systemen. Beheerdersrechten blijken te zijn aangepast, monitoringwaarden zijn tijdelijk gemanipuleerd en bepaalde logs ontbreken. Er is geen onmiddellijke sabotage, maar de impact is ernstig genoeg om het incident te melden bij de bevoegde autoriteiten.

Tijdens het technisch onderzoek komt een ongemakkelijke vaststelling naar boven:
de meest volledige en betrouwbare logs bevinden zich niet bij de watermaatschappij zelf, maar bij InfraCare IT Services. Zij beheren immers de remote-toegang, voeren identiteitsbeheer uit en houden supporttickets en systeemlogs langer bij dan de klant.

Wat aanvankelijk een technisch incident leek, krijgt plots een strafrechtelijk karakter.

Waarom de overheid zich rechtstreeks tot het supportbedrijf richt

De onderzoeksrechter staat voor een klassieke uitdaging: digitale sporen verdwijnen snel. Logs roteren, tickets worden gesloten, back-ups overschreven. Wachten op een langdurig rechtshulpverzoek tussen lidstaten is geen optie meer.

Dankzij Verordening (EU) 2023/1543, beter bekend als de E-Evidence-verordening, hoeft dat ook niet. De wet laat toe dat een gerechtelijke autoriteit zich rechtstreeks richt tot de dienstverlener die de relevante elektronische gegevens beheert — ook als die dienstverlener “slechts” een supportpartner is.

InfraCare ontvangt geen vraag, maar een Europees Bewaringsbevel.
En kort daarna: een Europees Verstrekkingsbevel.

Geen overleg. Geen onderhandeling. Geen tussenkomst van de klant vereist.

Wat er concreet wordt gevraagd

Het bevel is juridisch precies en operationeel veeleisend. InfraCare moet binnen een strikte termijn gegevens veiligstellen en overdragen, waaronder:

  • loggegevens van remote-toegang en VPN-sessies
  • wijzigingen in gebruikersrechten en identiteiten
  • ticketinformatie waarin supportacties en beslissingen zijn vastgelegd
  • monitoring- en systeemlogs die aantonen wat wanneer is gebeurd

Dit zijn geen exotische datasets. Het gaat om dagelijkse operationele data, maar in een gerechtelijke context krijgen ze plots bewijswaarde.

Voor het eerst beseft het management dat hun IT-systemen niet alleen operationeel kritisch zijn, maar ook juridisch relevant.

De ongemakkelijke vraag aan de bestuurstafel

Wanneer de directie wordt ingelicht, verschuift de discussie snel van techniek naar verantwoordelijkheid.

Niet: “Kunnen we deze logs aanleveren?”
Maar: “Wat als we dat niet correct of niet tijdig doen?”

Onder NIS2 is het bestuur expliciet verantwoordelijk voor het toezicht op cyberrisico’s en wettelijke verplichtingen. En de E-Evidence-verordening laat weinig ruimte voor interpretatie: wie een geldig Europees bevel negeert of vertraagt, riskeert sancties.

En dat raakt niet alleen het bedrijf.

Wanneer aansprakelijkheid persoonlijk wordt

Voor bestuurders is dit het kantelpunt.
Niet-naleving kan leiden tot:

  • strafrechtelijke gevolgen voor de onderneming
  • bestuurlijke sancties opgelegd door nationale autoriteiten
  • persoonlijke aansprakelijkheid bij aantoonbare nalatigheid
  • tijdelijke bestuursverboden of verlies van “fit & proper” status

De redenering “wij zijn geen NIS2-entiteit” biedt geen bescherming wanneer het bedrijf een essentiële schakel blijkt in een strafrechtelijk onderzoek.

De wet kijkt niet naar functietitels, maar naar feitelijke controle over data.

De tijdslijn laat geen ruimte voor uitstel

Voor het management is timing cruciaal:

  • NIS2 is in België en Nederland van kracht sinds 17 oktober 2024
    → bestuursverantwoordelijkheid is vandaag al een realiteit
  • De E-Evidence-verordening wordt volledig toepasbaar op 18 augustus 2026
    → vanaf dat moment moeten processen, beslissingslijnen en tooling operationeel zijn

Er is geen “zachte landing”.
Tegen 2026 wordt verwacht dat elk IT-supportbedrijf dat met kritieke klanten werkt, juridisch en operationeel klaar is.

Waarom ISO 27001 een goed begin is, maar geen eindpunt

InfraCare heeft zijn ISO-certificaat terecht. Het biedt structuur, discipline en aantoonbare beveiliging. Maar ISO 27001 is geen juridisch afweerschild.

Het standaardkader zegt niets over:

  • hoe om te gaan met gerechtelijke bevelen
  • wie binnen het bestuur beslist bij wettelijke conflicten
  • hoe strafrechtelijke risico’s worden beheerd

Die lacune moet door het bestuur zelf worden ingevuld.

De les voor het management

Wat dit scenario duidelijk maakt, is eenvoudig maar fundamenteel:

IT-support is niet langer een neutrale technische rol.
Het is een juridische positie in de digitale keten.

Besturen die dit erkennen, kunnen hun aansprakelijkheid beheersen.
Besturen die dit negeren, ontdekken hun verantwoordelijkheid pas wanneer het te laat is.

Wat dit bedrijf uiteindelijk doet

InfraCare kiest ervoor om niet af te wachten. Het bestuur laat:

  • een expliciet lawful access & E-Evidence-beleid goedkeuren
  • beslissingsbevoegdheden vastleggen
  • een tabletop-oefening uitvoeren met directie en legal
  • contracten met NIS2-klanten herzien
  • E-Evidence opnemen in het risicoregister

Niet omdat de wet dat vraagt, maar omdat goed bestuur dat vereist.

Wat bedrijven snel op orde moeten stellen

De E-Evidence-verordening laat weinig ruimte voor improvisatie. Organisaties die diensten leveren aan NIS2-entiteiten moeten vandaag al zorgen dat drie fundamenten stevig staan. Niet technisch, maar bestuurlijk en procesmatig.

Ten eerste: een heldere data-retentiepolicy.
Bedrijven moeten expliciet vastleggen welke data ze bewaren, hoe lang, waar en waarom. Die bewaartermijnen moeten enerzijds voldoen aan GDPR-principes zoals dataminimalisatie, maar anderzijds voldoende ruimte laten om gerechtelijke bewaringsbevelen tijdelijk te overrulen. Zonder duidelijke retentieafspraken ontstaat bij een gerechtelijk verzoek meteen onzekerheid — en dat is juridisch risicovol.

Ten tweede: een actueel en volledig datainventaris.
Besturen moeten inzicht hebben in welke elektronische gegevens onder hun feitelijke controle vallen. Dat betekent niet alleen een lijst van applicaties, maar ook een overzicht van:

  • logdata
  • support- en ticketinformatie
  • identiteits- en toegangsgegevens
  • back-ups en archieven
  • datatransities tussen systemen, cloudomgevingen en leveranciers

Zonder dit overzicht is het onmogelijk om snel, proportioneel en correct te reageren op een Europees bewarings- of verstrekkingsbevel.

Ten derde: een zakelijk en juridisch geborgd proces.
Organisaties moeten een vast proces hebben dat het volledige traject afdekt:
van opslag en classificatie,
over ontvangst en beoordeling van een gerechtelijk verzoek,
tot bewaring, selectie en verzegelde overdracht van gegevens.

Dat proces moet:

  • duidelijke beslissingsbevoegdheden bevatten
  • voldoen aan alle wettelijke termijnen
  • auditbaar en herhaalbaar zijn
  • en de vertrouwelijkheid van klant- en persoonsgegevens waarborgen

Zonder zo’n end-to-end proces wordt compliance afhankelijk van improvisatie — en dat is precies wat de wet wil vermijden.

Bewijskracht, encryptie en een onderschatte praktijkuitdaging

De E-Evidence-verordening stelt niet alleen eisen aan wat moet worden aangeleverd, maar vooral aan hoe. Gegevens die als elektronisch bewijs dienen, moeten aantoonbaar authentiek, volledig en ongewijzigd zijn. Dat betekent dat organisaties hun logging, tijdssynchronisatie, integriteit en verzegeling op orde moeten hebben — niet achteraf, maar vooraf. Tegelijk botst dit met een andere kernverplichting: end-to-end-encryptie die geheimen ook werkelijk geheim houdt. Encryptie mag niet worden uitgehold, maar maakt het in de praktijk complex om gegevens tijdig, selectief en controleerbaar aan te leveren zonder sleutels prijs te geven of vertrouwelijkheid te schenden. Die spanning tussen bewijskracht en vertrouwelijkheid is geen academische discussie, maar een dagelijkse realiteit voor IT- en bestuursverantwoordelijken. Wie daar geen doordacht proces voor heeft, ontdekt bij een gerechtelijk bevel dat technische keuzes plots juridische gevolgen hebben.

Kort gezegd:
wie zijn data niet kent, zijn processen niet heeft vastgelegd en compliance als bijzaak behandelt, loopt het grootste risico.
Wie dit wél structureel op orde brengt, verandert compliance van een verplichting in een beheersbaar bedrijfsinstrument.

Even bijpraten

Wat in veel organisaties als “compliance” wordt ervaren, is in werkelijkheid vaak een verzameling losse verplichtingen: ISO hier, NIS2 daar, een juridisch memo in de lade en een audit die één keer per jaar terugkomt. Pas wanneer een echt incident zoals dit zich via Murphy aandient, zal nog maar eens blijken hoe weinig samenhang compliance in bedrijven als geheel heeft.

Precies daar zit de reden waarom Harry van der Plas en Danny Zeegers, als uitvinders van de HarmonyQ-methodologie, voor veel bestuurders het verschil maken tussen reageren en voorbereid zijn. Hun uitgangspunt is eenvoudig, maar fundamenteel: compliance is geen last en geen checklist, maar een harmonisch samenhangend bedrijfsinstrument dat bestuur, operatie, IT en juridische verantwoordelijkheid met elkaar verbindt.

Bij HarmonyQ wordt compliance niet bovenop de organisatie gelegd, maar erin verweven. Governance, risico’s, processen en technologie worden zo op elkaar afgestemd dat onverwachte juridische of operationele situaties niet leiden tot paniek, maar tot beheerste besluitvorming.

Dat voorkomt geen incidenten of gerechtelijke vragen.
Maar het voorkomt wél verrassingen op bestuursniveau.

Om te begrijpen waarom dat vandaag geen luxe meer is, maar een noodzaak, loont het om even stil te staan bij deze ontnuchterende praktijkcase — eentje die laat zien hoe snel een ondersteunende IT-rol kan veranderen in een juridische verantwoordelijkheid, en hoe bestuurders daar al dan niet op voorbereid zijn.

Danny Zeegers en Harry VM van der Plas

Laat een reactie achter

Deel dit artikel

Aanbevolen artikels

Meer items

Blijf up to date met NIS2.news

Schrijf je in voor de nis2.news nieuwsbrief en mis nooit het laaste nieuws over NIS2